|
уникальное значение во всех сертификатах, выдаваемых УЦ службы ДТС |
|
|
ГОСТ Р 34.11/34.10-2012 (OID 1.2.643.7.1.1.3.3) |
|
|
Common Name (CN) = УЦ службы ДТС, Organization (O) = ЕЭК, Organization Unit (OU) = ИТ, Country (C) = RU |
|
|
имя DN соответствует требованиям X.501. Common Name (CN) = <Псевдоним СШВ>, Organization (O) = <Сокращенное наименование организации>, Organization Unit (OU) = <Наименование подразделения>, mailAddress (E) = <адрес электронной почты администратора TSP сервера> |
|
|
кодируемое поле соответствует требованиям, описанным в RFC 5280, и содержит информацию об открытых ключах ГОСТ 34.10-2012 (то есть с идентификатором ключа, длиной ключа в битах и значения открытого ключа) |
|
|
(OID расширения 2.5.29.15) (использование ключа) |
|
|
ExtendedKeyUsage (OID расширения 2.5.29.37) (расширенное использование ключа) |
|
|
(OID расширения 2.5.29.32) (политика сертификата) |
iso(1) member-body(2) ru(643) ________(X) id ЕЭК (XXX) id-_______(X) id-________(X) id-________(X) ... |
|
(OID расширения 2.5.29.14) |
|
|
AuthorityInformationAccess (OID расширения 1.3.6.1.5.5.7.1.1) (Доступ к сертификату УЛ УЦ службы ДТС) |
URL сервера СПСС следующего вида: http://<XXX>00.DTS.EEC:8081/, http://<XXX>01.DTS.EEC:8081/ |
|
(в ред. решения Коллегии Евразийской экономической комиссии от 02.07.2019 N 111) (см. текст в предыдущей редакции) |
|
|
CRLDistributionPoint (OID расширения 2.5.29.31) (точка распространения СОС) |
http://<XXX>00.DTS.EEC/RootTTPCA.crl, http://<XXX>01.DTS.EEC/RootTTPCA.crl |
|
подпись сертификата генерируется и кодируется в соответствии с требованиями, определенными в RFC 5280 |
|
Все сертификаты ключей проверки ЭЦП выдаются УЦ службы ДТС в соответствии с версией X.509 v.3.
Расширения сертификата ключа проверки ЭЦП
Функция каждого расширения определена стандартным значением связанного с ним идентификатора объекта (OBJECT IDENTIFIER). Расширение в зависимости от опции, выбранной УЦ службы ДТС, выдающее сертификат ключа проверки ЭЦП, может быть критическим или некритическим. Если расширение обозначено как критическое, тогда приложение, использующее сертификаты ключей проверки ЭЦП, должно отклонять каждый сертификат ключа проверки ЭЦП, в котором после обнаружения критического расширения оно не сможет его распознать. Каждое некритическое расширение может игнорироваться.
Использование ключа (Key Usage)
Разрешение использование ключа - может быть критическим или некритическим. Данное расширение определяет способ применения ключа (например ключ для шифрования данных, ключ для ЭЦП и т.д.). Значение данного расширения зависит от политики, в соответствии с которой выдан сертификат ключа проверки ЭЦП.
В сертификате сервера ДТС расширение "Использование ключа" помечается как критическое и имеет следующие значения:
digitalSignature (0) - ключ для реализации цифровой подписи (идентификации субъекта или данных);
nonRepudiation (1) - ключ, связанный с реализацией неотрекаемости.
Сертификат сервиса проверки статуса сертификата ключа проверки ЭЦП
В сертификате СПСС расширение "Использование ключа" помечается как критическое и имеет следующие значения:
digitalSignature (0) - ключ для реализации цифровой подписи (идентификации субъекта или данных);
nonRepudiation (1) - ключ, связанный с реализацией неотрекаемости.
Сертификат сервиса штампов времени
В сертификате СШВ расширение "Использование ключа" помечается как критическое и имеет следующие значения:
digitalSignature (0) - ключ для реализации цифровой подписи (идентификации субъекта или данных);
nonRepudiation (1) - ключ, связанный с реализацией неотрекаемости.
Улучшенный ключ (ExtendedKeyUsage)
Уточнение (ограничение) использования ключа - расширение может быть критическим. Данное поле определяет одну или более областей в дополнение к основному применению, установленному в поле keyUsage, в пределах которых может быть использован сертификат. Данное поле следует интерпретировать как ограничение допустимой области применения ключа, определенного в поле keyUsage. Конкретные значения расширения зависят от политики, в соответствии с которой выдан сертификат ключа проверки ЭЦП.
Сертификат сервиса проверки статуса сертификата
В сертификате СПСС расширение помечается как некритическое и содержит объектный идентификатор OCSPSigning: 1.3.6.1.5.5.7.3.9.
Сертификат сервиса штампов времени
В сертификате СШВ расширение помечается как некритическое и содержит объектный идентификатор Timestaping: 1.3.6.1.5.5.7.3.8.
Политики сертификата (Certificate Policy)
Расширение политики применения сертификатов (CertificatePolicies) содержит идентификаторы политик и ее квалификаторы, вносимые в сертификат ключа проверки ЭЦП в соответствии с правилами, описанными в Регламенте УЦ службы ДТС. Данное расширение не является критическим расширением.
Основные ограничения (Basic Constraints)
Расширение является критическим в сертификатах ключей проверки ЭЦП удостоверяющих центров и может быть критическим или некритическим в сертификатах конечных пользователей. Расширение позволяет определить, является ли субъект сертификата удостоверяющим центром (поле СА), а также сколько максимально (принимая иерархическую систематизацию удостоверяющих центров) может быть удостоверяющих центров на пути, ведущем от рассматриваемого удостоверяющего центра до конечного пользователя (поле pathLength).
Значение поля pathLength, равное 0, означает, что сертификат принадлежит удостоверяющему центру, который может выдавать сертификаты только конечным пользователям.
В сертификатах в расширение BasicContraints вносится пустая последовательность без указания в ней поля СА и поля pathLength.
Точки доступа к спискам отозванных сертификатов (CRL Distribution Points)
Расширение не является критическим. Расширение определяет протоколы и сетевые адреса, по которым можно получить актуальный список отозванных сертификатов, выданный издателем сертификата, в котором находится данное расширение.
Доступ к информации о центрах сертификации (AuthorityInformationAccess)
Расширение не является критическим. Поле указывает, каким образом передаются данные и услуги издателем сертификата, в сертификате которого данное расширение имеется. Данное расширение, если имеет место, содержит URL адрес услуги OCSP проверки статуса сертификата.
(в ред. решения Коллегии Евразийской экономической комиссии от 02.07.2019 N 111)
(см. текст в предыдущей редакции)
Поле signatureAlgorithm содержит идентификатор криптографического алгоритма, описывающего алгоритм, применяемый для реализации ЭЦП, которую ставит Удостоверяющий центр на сертификате.
Для сертификатов, выдаваемых УЦ службы ДТС, значение поля:
id-tc26-gost3410-2012-512 OBJECT IDENTIFIER ::= id-tc26-signwithdigest-gost3410-2012-512 OBJECT IDENTIFIER ::= { iso(1) member-body(2) ru(643) rosstandart(7) tc26(1) algorithms(l) signwithdigest(3) gost3410-2012-512(3)}
УЦ службы ДТС выдает сертификаты, содержащие имя издателя и субъекта, создаваемые в соответствии с правилами, описанными в Регламенте УЦ службы ДТС.
Идентификаторы политик сертификатов
Политика сертификата содержит информацию типа PolicyInformation (идентификатор, электронный адрес) о политике сертификата, которая реализуется УЦ службы ДТС, выдающим сертификаты - расширение не является критическим. В сертификатах, выдаваемых УЦ службы ДТС, возможны следующие идентификаторы политик:
iso(1) member-body(2) ru(643)______(X) id ЕЭК (XXX) id-_______(X) id-_______(X) id-______(X)... - политика сертификата службы статусов сертификата;
iso(1) member-body(2) ru(643)______(X) id ЕЭК (XXX) id-_______(X) id-_______(X) id-______(X)... - политика сертификата службы штампов времени;
iso(1) member-body(2) ru(643)______(X) id ЕЭК (XXX) id-_______(X) id-_______(X) id-______(X)... - политика сертификата администратора сертификации. Список отозванных сертификатов (CRL) состоит из последовательности трех полей. Первое поле (tbsCertList) содержит информацию об отозванных сертификатах, второе и третье поля (signatureAlgorithm и signatureValue) - соответственно информацию о типе алгоритма, примененного для подписания списка и ЭЦП, которая ставится на сертификате удостоверяющим центром. Значение двух последних полей полностью совпадает, как в случае сертификата. Информационное поле tbsCertList является последовательностью обязательных и опциональных полей. Обязательные поля идентифицируют издателя списка отозванных сертификатов, а необязательные содержат отозванные сертификаты и расширения списка отозванных сертификатов.
Значения основных полей и расширений списка отозванных сертификатов приведены в таблице 2.
- Гражданский кодекс (ГК РФ)
- Жилищный кодекс (ЖК РФ)
- Налоговый кодекс (НК РФ)
- Трудовой кодекс (ТК РФ)
- Уголовный кодекс (УК РФ)
- Бюджетный кодекс (БК РФ)
- Арбитражный процессуальный кодекс
- Конституция РФ
- Земельный кодекс (ЗК РФ)
- Лесной кодекс (ЛК РФ)
- Семейный кодекс (СК РФ)
- Уголовно-исполнительный кодекс
- Уголовно-процессуальный кодекс
- Производственный календарь на 2023 год
- МРОТ 2024
- ФЗ «О банкротстве»
- О защите прав потребителей (ЗОЗПП)
- Об исполнительном производстве
- О персональных данных
- О налогах на имущество физических лиц
- О средствах массовой информации
- Производственный календарь на 2024 год
- Федеральный закон "О полиции" N 3-ФЗ
- Расходы организации ПБУ 10/99
- Минимальный размер оплаты труда (МРОТ)
- Календарь бухгалтера на 2024 год
- Частичная мобилизация: обзор новостей